不只是縮時,還有粉塵、噪音、位移偵測 |
隨著資料收集和分析變得更加重要,以及 IT 和 OT 匯聚在一起以實現「大數據」計劃,有必要重新評估保護 OT 的網路安全最佳實踐。
保持對所有有形資產的控制,以確保其始終的安全執行是 OT 網路安全的首要目標,並凌駕於所有其他問題之上。如果一個設施無法安全執行,那麼它根本就不會執行。
什麼是營運技術(OT)網路安全?
營運技術(OT)網路安全是指為保護營運技術基礎設施、人員和資料而佈署的軟體、硬體、實踐、人員和服務。隨著資料收集和分析變得更加重要,以及 IT 和 OT 匯聚在一起以實現「大數據」計劃,有必要重新評估保護 OT 的網路安全最佳實踐。
OT 歷史和定義
隨著 18 世紀的第一次工業革命,對工業控制的需求就產生了。將蒸汽轉化為可用能源既困難又危險;花了幾十年時間才完善一個能夠控制蒸汽機輸出速度的調速器,以真正馴服這種新的動力源。隨後的每一次工業革命(我們目前進入第四次革命)都推動或是由實體系統控制的進一步發展推動的。
圖1:CPS、OT、IoT 和 IIoT 之間的關係
第四次工業革命
所有這些技術和趨勢都在推動第四次工業革命,通常被稱為工業 4.0。歐盟(EU)在投資方面特別活躍,以實現這一進展。歐盟將工業 4.0 視為真正的「正規化轉變」,將推動持續的競爭優勢。
這些技術趨勢正在 OT 上趨同,並推動對策略的重新思考。事實上,2019 年 11 月 Gartner 對 OT 營運商的調查發現,59% 的人認為物聯網的採用,可能會在 36 個月內增加,或取代其大部分或全部 OT 監控系統。有鑑於此,有必要概述物聯網產品和服務的當前供應商格局。
全球 Goldrush 進入物聯網
世界上每家主要科技公司要麼是物聯網的消費者,要麼是物聯網的供應商,要麼兩者兼而有之。由於這些產品和服務中的大多數銷售,遠遠超出了傳統的「工業」客戶群,因此它們通常作為物聯網解決方案,而不是物聯網解決方案進行行銷。
所有主要的雲和邊緣運算提供商,都推出了專門針對物聯網量身訂製的解決方案。其中包括亞馬遜網路服務(AWS)、谷歌、微軟和 IBM。
- AWS 物聯網
- 谷歌雲物聯網
- IBM Watson 物聯網平台
- 微軟 Azure 物聯網集線器
目前有數百家供應商,提供某種類型的物聯網產品或服務。許多人正在提供傳統的中介軟體功能,將感測器連線到分析和控制應用。(這包括上面列出的雲提供商。)
此中介軟體透過物聯網閘道器進行通訊,以管理物聯網裝置。平台內支援的典型功能包括資料收集、裝置管理、配置管理、訊息傳遞和軟體管理。這些中介軟體平台還將裝置資料推向報告、視覺化、分析和警報應用程式。
需要注意的一些額外的物聯網平台包括:
- 阿里巴巴雲物聯網
- 美國電話電報公司 M2X
- 博世物聯網套件
- 思科動力學
- 德國電信物雲(CoT)
- 通用電氣數位 Predix 平台
- 華為 OceanConnect
- 甲骨文物聯網雲
- SAP 萊昂納多物聯網
- 施耐德電氣生態結構
- 西門子心靈球
- 軟體 AG Cumolocity 物聯網
- Verizon ThingSpace
供應商正在從傳統的 IT 裝置空間,以及營運商基礎設施空間跳入物聯網空間,包括戴爾、愛立信、富士通、日立、惠普企業、英特爾、高通和三星等市場主管者。
為 OT 網路安全建構商業案例
當今繼續實現 OT 現代化的商業案例,與 200 多年來相同:以更低的成本更快地、更安全、高效地完成工作。OT 投資的好處怎麼強調都不為過。從歷史上看,OT 一直是透過經濟和安全地提供清潔水、能源和廢水處理,以及生產許多生活製造的主食,來提高生活品質的巨大貢獻者之一。因此,OT 功能在其傳統工業基礎之外找到了更廣泛的受眾,這並不奇怪。監控和控制我們的實體環境的好處對商業企業、政府甚至消費者越來越有吸引力。但隨著隔離 OT 系統的能力變得越來越困難,與 OT 相關的網路安全擔憂從未像現在這樣嚴重。
IT 和 OT 整合的網路安全問題
廣泛採用複雜的企業軟體,特別是大數據分析,促使組織進一步整合傳統 IT 系統和傳統 OT 基礎設施。將工業系統連線到 IT 網路可以更詳細地檢視單個裝置,並建立整個工業生態系統的綜合檢視,簡化管理和操作。這可以持續監控裝置和系統的效能和狀況,從而改善正常執行時間。這些好處令人信服,並解釋了人們對 IT/OT 整合的興趣激增。
對 OT 網路安全的需求顯著成長
「然而,今天,完全隔離幾乎是不可能的,為了減輕 OT 的新風險,組織需要將傳統的 IT 網路安全產品和服務,與量身訂製的 OT 特定網路安全解決方案相結合。」
但隨著這些好處,出現了更大的複雜性,增加了風險,並擴大了攻擊面。 這種情況類似於 30 年前組織首次接受 IT,然後迅速意識到需要理解和解決一系列網路安全問題。
傳統的 OT 系統帶來了一長串網路安全問題,包括具有數十年生命週期的裝置,由於穩定性問題而無法修補系統,以及缺乏基本的網路安全功能,如使用者身份驗證或加密。在理想化的過去,這些系統被「空氣間隙」,以確保與世界其他地區完全隔離,這些擔憂被認為具有可接受的風險。然而,今天,完全隔離幾乎是不可能的,為了減輕 OT 的新風險,組織需要將傳統的 IT 網路安全產品和服務與量身定製的 OT 特定網路安全解決方案相結合。
OT 網路安全的商業理由
採用 OT 網路安全控制的業務案例,應該應用與採用 OT 相同的風險管理計算。在評估與營運中斷相關的風險時,網路攻擊的威脅是需要考慮的重要附加組成部分。雖然傳統 OT 使用者不太關心,但保護資料機密性也是一個考慮因素。在本報告的後面,我們將深入研究 IT 網路安全和 OT 網路安全從業人員的不同歷史優先事項和目標。
國際自動化學會(ISA)工業自動化和控制系統標準安全:建立工業自動化和控制系統安全計劃(ISA-62443-2-1)為制訂 OT 網路安全投資的業務原理提供了有用的指導。它建議重點關注四個關鍵領域:
關鍵領域一:
後果
網路攻擊可能產生的負面商業後果是什麼?
關鍵領域二:
威脅
你的組織的實際威脅環境是什麼?
關鍵領域三:
恢復
從網路攻擊中恢復的估計成本是多少?
關鍵領域四:
投資
OT 網路安全產品或服務的成本是多少?
網路安全攻擊的負面商業後果很多。需要考慮的業務後果包括公共健康和安全、業務連續性、災難恢復、法規合規性、公眾信心和環境。 為某些(例如,停機、裝置損壞)分配硬數字成本比其他成本(例如,聲譽損壞、客戶不滿)更容易,但所有成本都應該估算。
「雖然一些組織必須認真對待民族國家攻擊的可能性,但大多應該更多地關注心懷不滿的員工和/或前僱員發動的可能性。」
一個組織面臨的威脅環境取決於一系列因素,其中一些因素很難預測,或者由於地緣政治或其他組織無法控制的原因而迅速變化。不可能防範所有潛在的威脅,因此在確定安全控制需求之前,需要對威脅進行優先排序。
雖然一些組織必須認真對待民族國家攻擊的可能性,但大多陣列組織應該更多地關注心懷不滿的員工和/或前僱員襲擊的可能性。一些組織在生產環境中具有 OT,這些環境中引入了獨特的技術漏洞,這將引入特定的威脅。根據剝削的可能性對威脅進行優先排序有助於為經理樹立一個案例,即威脅對業務的潛在影響最大。
還應估算任何潛在攻擊的成本。在提出商業案例時,如果實際的美元金額可以與每個潛在攻擊相關聯,則影響更大。顯然,沒有一個體面的商業案例會顯示在抵禦攻擊上,花費的錢比襲擊估計的成本還要多。
瞭解給定組織基礎設施,最可能的攻擊場景為建構安全參考架構,提供了一個堅實的起點,該架構有望防止此類攻擊。瞭解這些攻擊的潛在成本,有助於建構購買和佈署正確安全控制的業務案例。
如何啟動網路保險市場,以推動更好的 OT 安全
什麼是普渡企業參考架構?
普渡企業參考架構創建於 20 世紀 90 年代中期,並迅速獲得行業廣泛接受,作為瞭解 OT 系統所需層次結構的手段。它被納入 ANSI/ISA-95 標準,該標準繪製了典型工業控制系統(ICS)高階元件的互聯和相互依存關係。
普渡大學模式等級
透過首先概述模式中的原始區域和等級,我們可以看到一些現代 IT 技術如何使執行模式的原則變得更加困難。當前的普渡大學架構將 OT 和IT建模為六個功能級別,從 0 級執行到 5 級,跨越三個區域。
0 級 | 這是實際完成工作的實體裝置,被稱為受控制的裝置。 這包括閥門、泵、感測器、執行器、壓縮機等。 |
1 級 | 這些是可程式邏輯控制器等控制裝置,用於監控和控制 0 級裝置和安全儀表系統。 |
2 級 | 用於分析和處理 1 級資料的控制邏輯。 系統包括人機介面(HMI);監督和資料採集(SCADA)軟體。 |
3 級 | 該等級包括支援全廠控制和監控功能的系統 3 級系統還彙總了需要推到更高層次業務系統的低階資料。 |
4 級 | 業務物流系統可以包括資料庫伺服器、應用程式伺服器和檔案伺服器。 |
5 級 | 更廣泛的企業 IT 系統集,包括與公共網際網路的連線。 |
普渡大學模式區
這些等級通常分為三個邏輯區域,4 級和第 5 級包括企業區,企業區由非軍事區(DMZ)與製造區(包括 0 級至 3 級)分開。這個簡單的模式提供了一個簡單的方法,來考慮哪些系統需要相互通訊。它最初不是作為網路安全架構建立的,但隨著多年來企業區系統和製造區系統之間對更多資料共享的業務需求不斷成長,安全從業人員也接受了它,以幫助構建更安全的網路。
圖2:OT 的六個普渡企業參考架構區
對普渡企業參考架構的擔憂
一段時間以來,很明顯,幾項新技術的採用,給普渡大學 ICS 網路安全模式,打了一些字面上的比喻性的漏洞。該模式的主要目標是節流或防止關卡之間的資料流量。通常,來自每個層的資料不僅必須在企業和製造區之間,而且在到達下一層之前,都必須透過防火牆/DMZ。在具有如此高安全性、可靠性和監管要求的系統中,層之間的單點入口/出口不是一個錯誤,而是一個功能。
物聯網架構可以透過允許裝置透過物聯網閘道器,甚至直接與雲服務通訊,來嚴重挑戰普渡大學模式。無論哪種方式,傳統的普渡大學水準都可以繞過。至少,雲服務的使用使普渡大學模式,比傳統企業區更勝一籌。對於物聯網使用者來說,資料顯然不再完全存在於企業中,普渡大學模型在這些環境中可以被認為是過時的。
另一項可以強調普渡大學模式的新興技術,是使用邊緣運算裝置,以便在傳統網路的邊緣實現運算和儲存操作。例如,請參閱亞馬遜網路服務 Snow 系列邊緣裝置。
修改普渡大學模式
在更傳統的 OT 環境中,正在努力修改普渡大學模型,以支援現代物聯網裝置和雲服務。例如,歐盟網路安全域性(ENISA)提出了普渡大學模型的修訂版,該版本引入了基於 3 級的工業物聯網(IIoT)平台,該平台與 1 級 IIoT 裝置直接通訊。(請參閱 2018 年 11 月《智慧製造背景下物聯網安全良好做法》。) 修改普渡大學模型的另一個例子如圖 3 所示,其中 IIoT 區域分析和管理,來自 1 級裝置製造和控制過程的所有資料,並管理製造資料與企業區,或雲/網際網路服務的通訊。
圖3:使用 IIoT 和雲修改普渡參考模式
普渡模式的非工業使用者
並非所有物聯網使用者,都覺得有必要嚴格遵守普渡大學模式。這是因為與傳統的關鍵基礎設施提供商相比,這些使用者中的許多通常對安全性、可靠性和監管的擔憂要少得多。雖然這些風險很可能更低,但最近的歷史表明,沒有人可以免受網路安全攻擊,系統應該始終牢記網路風險。
IT 和 OT 安全有什麼區別?– 比較風險評估和目標
IT 和 OT 網路安全在根本上有所不同,不僅因為 IT 和 OT 系統通常需要不同的安全控制,還因為 IT 和 OT 安全從業人員,在「保護」資產方面有不同的目標,對「安全」的含義有不同的定義。這並不奇怪,因為 IT 主要關注數位資產,OT 主要關注實物資產。
將 IT CIA 模式與 OT CAIC 優先順序模型進行比較
IT 網路安全的標準是眾所周知的保密性、完整性和可用性(CIA)三合會。企業資料被認為是專有智慧財產權,通常是組織商業優勢的皇冠寶石。因此,將數位資產安全地鎖定下來,一直是 IT 網路安全策略的主要目標。隨後需要確保數位資產的完整性。組織不僅必須將其資料排除在競爭對手手中,而且還必須確保資料不會以任何方式、故意或以其他方式損壞。最後,這些資料需要在內部提供給適當的員工和合作夥伴,以及潛在客戶。
「保持對所有有形資產的控制,以確保其在任何時候的安全執行是 OT 網路安全的首要目標,並凌駕於所有其他問題之上。」
然而,OT 網路安全標準需要一套更廣泛和重新排序的優先事項,即控制、可用性、完整性和保密性,或 CAIC。保持對所有有形資產的控制,以確保其始終的安全執行是 OT 網路安全的首要目標,並凌駕於所有其他問題之上。如果一個設施無法安全執行,那麼它根本就不會執行。OT 網路安全的下一個最重要的目標是可用性。所有關鍵基礎設施都存在 OT,關鍵基礎設施通常需要全天候提供。誠信也很重要,特別是在確保安全和可用性的情況下。OT 資料的機密性遠不如 IT 資料關注。
除了在網路安全方面有不同的優先事項和目標外,實體系統中使用的技術,通常與資訊系統中使用的技術非常不同。這些差異不僅會顯著影響系統的網路安全態勢,還會影響保護它們的可用手段。OT 系統通常包括具有 30 年執行生命週期的遺留裝置。這種裝置很可能是為整個 OT 與世界其他地區安全空隙的時代而設計的。
圖4:將 IT CIA 模式與 OT CAIC 優先順序模式進行比較
神話般的 OT 氣隙
隨著 IT 和 OT 日益混合,除了最被鎖定的設施外,真正的空氣差距已經消失,OT 網路安全不得不迅速成熟。有趣的是,空氣間隙也是舊的 IT 網路安全實踐的極端例子:在網路周邊設定防火牆,以建立一個堅硬的保護外殼。然而,即使我們假設周邊保護是防彈的,這種策略也有缺陷。例如,許多攻擊可以透過已連線到區域網的磁碟或快閃記憶體驅動器進入網路,從而規避防火牆。僅關注周邊的策略無法檢測或阻止網路內的惡意流量。該策略缺乏冗餘性和深度。即使在空氣間隙周邊的完美世界中,這也會使系統變得脆弱,這將在本報告稍後面進行更詳細的討論。
OT 特定的網路安全控制
使可用策略複雜的是,許多傳統的 IT 網路安全工具無法在 OT 環境中使用。例如,即使是掃描 OT 裝置漏洞的簡單行為,也可能引發重大的過程中斷。同樣,生產環境中的安全補丁更新可能會有問題,因為用於補丁測試的備份系統通常不可用。這尤其令人擔憂,因為具有已知漏洞的裝置可以執行幾十年。然而,鑑於對系統中斷的擔憂,營運團隊在允許更改其 OT 環境方面,猶豫不決是可以理解的。
正如我們所看到的,除了這些傳統的 OT 網路安全挑戰外,營運團隊現在還必須管理整合工業物聯網裝置、雲服務、行動工業裝置和下一代無線網路等新技術的額外風險。
像 OT 駭客一樣思考
思考 IT 和 OT 網路安全的一個有用的練習,是建立一個攻擊者將或可能採取的步驟圖,以破壞 OT 系統。Lockheed Martin 和 MITRE 都建立了這樣的框架。洛克希德·馬丁稱其框架為網路殺戮鏈,MITRE 稱其框架為 ATT&CK。洛克希德·馬丁框架要簡單一點,我們將在這裡介紹它。我們將在後面部分,更詳細地瞭解 MITRE 框架。
圖5:洛克希德·馬丁網路殺戮鏈框架
請記住,並非每次攻擊都需要網路殺戮鏈中的每一步,隨著攻擊隨著時間的推移而發生,可能會有一些迭代。 洛克希德·馬丁框架中描述的攻擊的一般階段是:
- 偵察:研究、識別和選擇目標,並試圖辨識目標網路中的漏洞
- 武器化:建立遠端訪問惡意軟體,目的在利用基於已辨識漏洞的系統
- 交付:透過電子郵件附件、USB 等將武器傳輸到目標。
- 利用:惡意軟體武器的程式觸發,以利用已辨識的漏洞
- 安裝:惡意軟體安裝了入侵者可以使用的遠端訪問木馬或後門
- 命令和控制:惡意軟體通常需要設定一個命令和控制通道,透過該通道可以與入侵者通訊
- 目標行動:入侵者現在可以採取行動,例如洩密、銷燬或損壞資料
圖6:MITRE ATT&CK框架
圖片來源
負責 OT 網路安全
OT 網路安全的內在困難,因 IT 持續滲透到 OT 系統而加劇,使組織如何應對保護 OT 的挑戰大大複雜化。麥肯錫最近的一份報告指出:
「我們調查的許多重工業公司,無法確定負責 OT 網路安全的一方。 首席資訊保全官(CISO)可以制訂政策和制訂安全標準,但通常沒有責任在營運中實施 OT 網路安全,也沒有責任審計其遵守情況。與此同時,許多營運單位沒有明確的網路安全對應方,負責在工廠層面佈署、營運和維護 OT 網路安全控制。因此,他們經常忽視 OT 網路安全。」
麥肯錫強烈主張設立一名負責 IT 和 OT 網路安全的首席安全官。此人將考慮將 IT 和 OT 網路安全投資,作為更廣泛的風險管理策略決策的一部分。據 Gartner 稱,已經開始的一個趨勢,是在 IT 網路安全團隊下推出 OT 網路安全。到 2021 年,Gartner 預測,70% 的 OT 網路安全將由 CIO、CISO 或 CSO 部門直接管理,高於 2019 年的 35%。
誰是 OT 網路安全威脅的主要參與者?
對 OT 系統的威脅可能來自許多威脅行為者。這些行為者通常根據他們的動機,或與他們攻擊的組織之間的聯絡進行分類。例如,駭客的動機,可能是因為認為製造商有不可接受的環境做法,而員工的動機可能是出於僱主的虐待而產生的復仇願望。恐怖分子或民族國家的動機,可能是希望製造混亂或以其他方式實現政治目標。「指令碼孩子」通常只是在尋找臭名昭著和容易挑選的東西。
堅定的 OT 攻擊者的問題
從歷史上看,除了最持久的攻擊者外,OT 系統(字面上和比喻上)都無法觸及。然而,我們已經看到,只要有足夠的時間和精力,即使是保護最良好的地點也可能容易受到攻擊。我們已經看到,對於大多組織來說,保持脆弱裝置真正空氣間隙的能力越來越困難。但同樣重要的是要認識到,即使實現了空隙,它們也不能保證對有決心的攻擊者的安全 —— 記錄在案的攻擊就證明了這一點。無論是透過實體隔離,還是使用防火牆和 DMZ,圍繞資產的堅硬保護殼顯然是一種最佳做法,但正如我們在本報告稍後深入討論國防時所看到的,組織無法構建堅硬的保護殼,而只能留下一個柔軟、耐嚼的核心,沒有額外的保護。
除了來自敵對政府、恐怖組織、心懷不滿的員工和惡意入侵者的故意威脅外,組織還面臨無意威脅,如系統複雜性或事故造成的威脅,以及洪水和地震等自然威脅。
OT/ICS 網路事件的歷史
2018 年底,美國科技資訊辦公室。 S. 能源部(DOE)釋出了一份題為《工業控制系統網路事件史》的報告。該報告概述了截至2018年12月公開確認的對ICS系統的攻擊。 2010年左右,隨著 Stuxnet 襲擊,攻擊開始激增,報告將其描述為世界上第一個眾所周知的數位武器。
但該報告還提供了一個俏皮的例子,說明 1903 年,世界上第一次網路攻擊,對當時新的馬可尼無線系統進行了「駭客氣」。在許多方面,這一事件聽起來出乎意料地現代。Guglielmo Marconi 公開展示了他新的長途無線通訊系統,從康沃爾郡的波爾杜到倫敦傳輸了 300 多英里。Marconi 將他傳送摩爾斯電碼的系統描述為安全的,但在官方示威開始之前,其他人開始向嘲笑和侮辱馬可尼的倫敦地點傳送摩爾斯電碼訊息。幾天後,人們發現「駭客」是一名音樂廳魔術師,他想證明該系統不安全。 事情變化越多,它們就越不變。
記錄的 OT 網路攻擊
「從迄今為止,世界經歷的網路事件來看,我們發現威脅行為者的技術能力已經發生了重大變化,他們造成物理傷害的意願令人震驚...... 對於關鍵基礎設施來說,開發從網路攻擊中檢測和恢復的能力是需要吸取的最重要的教訓,因為保護所有系統免受任何攻擊是不可能的。」
攻擊 OT 的現代時代,確實始於 2010 年的 Stuxnet。很可能早些時候有類似複雜或對實體基礎設施,造成重大破壞的成功攻擊,但它們尚未公開或以其他方式被發現。
其他值得注意的攻擊包括:
- 夜龍(2009/2010)
- Duqu/Flame/Gauss(2011)
- 天然氣管道網路入侵活動(2011)
- Shamoon – 沙特阿美石油公司和拉斯加斯(2012年)
- 目標商店(2013)
- 紐約大壩(2013)
- 哈克斯(2013)
- 德國鋼鐵廠(2014)
- BlackEnergy(2014)
- 蜻蜓/精力充沛的熊(2014)
- 烏克蘭電網(2015)
- Kemuri 水務公司(2016)
- Shamoon 歸來(2016)
- 對烏克蘭電網的第二次攻擊(2016)
- CRASHOVERRIDE(2016)
- APT33(2017)
- NotPetya(2017)
- 蜻蜓/精力充沛的熊迴歸(2017)
- TRITON/Trisis/HatMan(2017)
- 歐洲水務事業上的加密貨幣採礦惡意軟體(2018)
- 影響基於 Windows 的 OT 資產的惡意軟體(2019)
我們這裡沒有空間來探索這些襲擊的細節,但鼓勵讀者閱讀前面提到的能源部報告。我們將引用作者的結論:
「從迄今為止世界經歷的網路事件中,我們發現威脅行為者的技術能力發生了重大變化,他們造成物理損害的意願令人震驚 ...... 對於關鍵基礎設施來說,開發從網路攻擊中檢測和恢復的能力,是需要吸取的最重要的教訓,因為保護所有系統免受任何攻擊是不可能的。」
對 OT 網路攻擊進行分類
鑑於攻擊者的各種動機和技能水準,對 OT/ICS 系統的攻擊的複雜性和嚴重性,會有很大差異也就不足為奇了。OT 系統的損壞也可能是其他受攻擊資產的附帶損壞的結果。在調查攻擊時,無論是從歷史記錄還是從你自己的系統中,建構一個時間表,將攻擊事件對映到我們之前討論的洛克希德·馬丁網路殺戮鏈框架,是有幫助的。通常,你會發現攻擊的早期階段,是在最終發現攻擊之前就已經執行的。
除了開始這種級別的攻擊分析外,根據一些高階指標對攻擊進行分類也有幫助。FireEye 的研究團隊開發了一個有用的分類方案,它稱之為 OT 網路安全事件本體(OT-CSIO)。
該方法根據幾個指標對攻擊進行分類:
- 目標:ICS 是目標,或者 ICS 碰巧受到影響
- 複雜性:低/中/高
- 影響:資料洩露/資料被盜/操作退化/操作中斷/系統被銷燬
- 受影響的裝置:受影響裝置的普渡大學層
圖7:FireEye 操作技術網路安全事件本體
圖片來源
對物聯網系統的攻擊,可以以類似的方式進行分析。請記住,對物聯網裝置的攻擊帶來了額外的擔憂,即它們可能會作為對其他基礎設施的分散式拒絕服務(DDoS)攻擊的一部分而受到損害。換句話說,雖然他們直接成為目標,但這是達到另一端的手段。
OT 網路攻擊伴隨機會
展望未來,可以有把握地假設,網路安全問題將至少與市場成長一樣快 —— 而這些市場的成長速度非常快。根據市場研究公司 Statistica 的資料,到 2025 年,全球物聯網市場將達到 1.6 萬億美元。據摩根士丹利稱,2020 年 IIoT 市場預計將達到 1100 億美元。根據市場研究公司 Markets and Markets 的資料,這是一個比傳統 OT 市場更大的市場,預計到 2022 年將達到 400 億美元。相比之下,根據 IDC 的資料,預計 2020 年全球 IT 市場將達到 4.3 萬億美元。
OT 網路安全的深度防禦是什麼?
深度防禦是透過使用多種網路安全措施來保護資產的策略。關於 OT 網路安全,深度防禦通常包括一系列工具、技術和技術,這些工具、技術和技術應用於所有層次和物理基礎設施層面。
正如我們所看到的,強大的周邊保護是必要的,但其本身不足以實現有效的 OT 網路安全。分層方法,或深度防禦,被認為是 IT 和 OT 網路安全的最佳實踐。OT 網路安全有許多深入的防禦框架,在美國,國家標準和技術研究所(NIST)率先定義了關鍵基礎設施提供商的安全要求。
OT 網路安全目標
在我們討論為 OT 推薦的一般網路安全控制之前,瞭解主要的網路安全目標是有幫助的。NIST 建議 ICS 實施如下(NIST SP-800-82):
- 限制對 ICS 網路和網路活動的邏輯訪問
- 限制對 ICS 網路和裝置的實體訪問
- 保護單個 ICS 元件免受開發
- 限制未經授權修改資料
- 檢測網路安全事件和事件
- 在惡劣條件下維護功能
- 事件發生後恢復系統
該清單應明確指出,為了有效,OT 網路安全需要成為包括傳統實體安全和災難恢復,在內的更廣泛的風險管理計劃的組成部分。同時,專門針對 OT 系統定製實際控制很重要。NIST建議對 OT 網路安全採取生命週期方法,將網路安全考慮因素納入從設計到退役的規劃決策中。
OT 網路安全保護策略的層次結構
因此,在考慮新的 OT 系統時,深度防禦應包括設計選擇。應該像任何其他風險管理流程一樣處理網路安全。例如,以減少工廠身體傷害風險的控制層次為例。理想的解決方案透過消除危險,或更換危險來消除風險。在本例中,這可能涉及完全改變製造過程,以便不再需要危險的機器。沒有這樣,危險的裝置可以被更安全的裝置取代。如果這兩個選項都不可用,那麼新增工程控制元件將人們與危險隔離是次佳選擇。如果這是不可能的,那麼就需要一種行政控制來改變人們在機器周圍的工作方式。最後,如果做不到這一點,可以為員工發放個人防護裝置(PPE),以保護他們免受已知的危害。應用螺栓式網路安全產品來調解 OT 系統中的已知漏洞等,同於向你的員工發放個人防護裝置。這是最後的手段。
儘可能消除對 OT 網路安全控制的需求
組織發現自己別無選擇,只能控制網路安全,原因有很多。這就是為什麼在設計過程中,開始更上行地解決問題很重要,這樣安全控制的需求就不那麼普遍了。有哪些例子? 在建築層面,NIST 建議(NIST SP 800-82):
- 確保關鍵元件是冗餘的,並且在冗餘網路上
- 設計優雅降解的關鍵系統,以防止災難性的級聯事件
- 為具有多個層次的 ICS 實現網路拓撲,最關鍵的通訊發生在最安全可靠的層中
- 在公司和 ICS 網路之間提供邏輯分離
- 採用 DMZ 網路架構
- 在可行的情況下使用可靠和安全的網路協議和服務
在工程和行政層面,NIST 建議:
- 限制對 ICS 網路和裝置的實體訪問
- 為 ICS 網路和公司網路的使用者,使用單獨的身份驗證機制和憑證
- 測試後禁用 ICS 裝置上的未使用的埠和服務,以確保這不會影響 ICS 的操作
- 將 ICS 使用者許可權,僅限於執行每個人工作所需的使用者許可權
- 在適當的情況下,將加密和/或加密散列等安全技術應用於 ICS 資料儲存和通訊
- 在測試系統上的現場條件下測試所有補丁後,快速佈署安全補丁
- 跟蹤和監控 ICS 關鍵領域的審計跟蹤
最後,作為一種 OT 網路安全 PPE,NIST 推薦了一系列安全控制,如入侵檢測軟體、防病毒軟體和檔案完整性檢查軟體。可以應用於 OT 的安全控制範圍龐大而多樣。NIST 有關於使用幾十類控制的建議(NIST SP 800-53)。 這些包括:
- 門禁控制
- 辨識和身份驗證
- 事件反應
- 媒體保護
- 風險評估
- 安全評估和授權
- 系統和通訊保護
- 系統和資訊完整性
Gartner OT 網路安全控制分類
不同的組織以不同的方式,對網路安全控制進行分類和優先排序。 例如,Gartner 追蹤以下高階 OT 安全類別:
- OT 網路監控和可見性
- OT 網路分割
- OT 安全遠端訪問
- OT 端點安全
- OT 安全服務
當然,控制的深度是潛在攻擊的廣度的結果,其中包括中間人攻擊、特權升級、欺騙攻擊、協議中的漏洞以及對端點、資料庫和閘道器裝置的攻擊。針對 IT 和 OT 系統的攻擊型別明顯重疊,也可以佈署幾個重要的 IT 網路安全控制來保護 OT。
工業網路安全:高效安全的關鍵基礎設施系統
推薦的 OT 網路保護
Gartner 建議在網路和端點層利用一些 IT 網路安全控制,此外還佈署專門為 OT 需求開發的網路安全控制。 Gartner 推薦用於保護 OT 的傳統網路安全控制包括 VPN/防火牆、入侵檢測系統(IDS)/入侵預防系統(IPS)、網路訪問控制(NAC)和欺騙/混淆工具。
OT 網路安全產品包括資產發現、漏洞管理、單向閘道器,以及應用程式和裝置控制。還應該注意的是,如果以有限的方式使用,一些傳統的 IT 安全產品可以佈署在 OT 系統中。 例如,IPS 等裝置可能只在被動 IDS 模式下執行。
需要一個通用 IT 安全控制矩陣,與特定於 OT 的控制相結合,是整合 IT 安全和 OT 安全團隊的主要驅動力,也是讓 CISO 控制這兩項任務的預算和策略的相關趨勢。
圖8:OT 網路安全的深度防禦
領先的 OT 網路安全法規和框架是什麼?
在美國,沒有全行業範圍的 OT 網路安全聯邦法規,NIST 關於 OT 網路安全的建議,被廣泛認為重要和有用,因為它們是為了保護最苛刻的關鍵基礎設施環境而建立的。然而,它們並不是唯一的重要指導方針,許多其他司法管轄區,包括英國、歐盟、中國、日本和澳大利亞,都有自己的法規和/或推薦的框架。
911 後的回覆
2001 年 9 月 11 日之後,確保美國關鍵基礎設施安全的努力出現了新的緊迫性。國土安全部總統指令 7 於 2003 年釋出,導致制訂了國家基礎設施保護計劃,該計劃於 2006 年首次釋出。改善關鍵基礎設施安全性的努力,得到了幾個政府的支援,2013 年 2 月,釋出了關於改善關鍵基礎設施網路安全的行政命令(EO)13636。 EO 釋出了總統政策指令 - 21(PPD-21):關鍵基礎設施安全和復原力。2014 年 2 月釋出的 NIST 網路安全框架是對 EO 13636 的回應。
美國關鍵基礎設施部門
2018 年《網路安全和基礎設施安全域性法案》建立了一個新的聯邦機構來主管美國。政府努力保護關鍵基礎設施,免受網路安全和其他威脅。網路安全和基礎設施安全域性(CISA),特別關注保護美國的 16 個經濟部門。政府指定為關鍵基礎設施:化學品部門、商業設施部門、通訊部門、關鍵製造部門、水壩部門、國防工業基地部門、應急服務部門、食品和農業部門、政府設施部門、醫療保健和公共衛生部門、資訊科技部門、核反應堆部門、材料和廢物部門、運輸系統部門、廢物和廢水系統部門。CISA 仍然是一個年輕的機構,但它已經在就工業控制系統的網路安全最佳實踐等主題提供行業指導。
圖9:網路安全和基礎設施安全域性(CISA)關鍵基礎設施部門
圖片來源
美國沒有全面的聯邦法規。 S.
令人驚訝的是,美國對網路安全的聯邦監管很少。沒有全面的立法,特定行業的法律大多側重於資料隱私。以隱私為重點的法律包括保護敏感患者資訊的《健康保險可攜帶性和問責制法》(HIPAA)和適用於金融服務公司的《Gramm-Leach-Bliley法案》。
特定於垂直的 OT 網路安全框架
幾個關鍵的基礎設施部門都有適合其要求的框架。例如,非營利公司北美電力可靠性公司,對北美電力基礎設施執行關鍵基礎設施保護(CIP)標準(NERC CIP)。2009 年,美國核監管委員會(NRC)修訂了其對核電站的安全要求。作為回應,該行業制訂了核電反應堆網路安全計劃(NEI 08-09),NRC 於 2010 年批准了該計劃。美國水務協會(AWWA)建立了一個網路安全指導和評估工具。
NIST 還開始建立配置檔案,為其網路安全框架提供特定行業的實施細節,目前已釋出基於流程和離散製造的配置檔案。
國際框架
在美國以外,細節不同,但目標和策略相似。歐盟於 2016 年頒佈了關於網路和資訊系統安全的 NIS 指令(指令(歐盟)2016/1148),其中包括關鍵的基礎設施元件。歐盟網路安全域性(ENISA)於 2017 年 12 月釋出了一份報告《將 OES 安全要求對映到特定部門》,該報告提供了逐個部門的指導。2020 年 5 月,歐盟通過了一項新的網路安全策略,該策略除其他外,呼籲審查 NIS 指令,並提出保護關鍵基礎設施的額外措施提案。
澳大利亞政府還對關鍵基礎設施保護採取了全面的方法。 2018年,2018年《關鍵基礎設施安全法》成為法律。 澳大利亞政府的關鍵基礎設施中心(CIC)編寫了一份 CIC 合規戰略檔案,該檔案概述了關鍵基礎設施所有者/營運商的義務,以及 CIC 遵守澳大利亞法律建議的關鍵要素。
跨行業網路安全框架
國際自動化學會(ISA)建立了一個廣泛適用的工業自動化和控制系統(IACS)安全框架。 標準制定委員會 ISA-99 包括國際工業網路安全專家並與之合作,他們的原創作品(ANSI/ISA-99)和正在進行的開發正被國際電工委員會(IEC)用於製作 ISA/IEC-62443 標準系列。
工業網際網路聯盟開發了工業網際網路安全框架(IISF),這是一個以跨行業為重點的 IIoT 網路安全框架。人們認識到,廣泛採用物聯網技術正在大大增加風險,這推動全球努力解決這些問題的網路安全策略。
雲安全聯盟(CSA)還開發了一個跨行業的物聯網安全控制框架,物聯網安全基金會建立了自己的物聯網安全合規框架。
NIST 為物聯網和網路實體系統建立了一個測試平台,並就智慧城市的網路實體系統/物聯網,以及智慧電網系統和智慧製造系統的網路安全等主題,釋出了許多指導檔案。
全球行動通訊系統協會(GSMA)是一個全球行動網路運營商協會,還為其成員和合作夥伴建立了物聯網安全指南。這些包括:網路營運營的物聯網安全指南、端點生態系統的物聯網安全指南和服務生態系統的物聯網安全指南。
關鍵的網路安全控制
作為起點,讀者應考慮檢查網際網路安全中心的關鍵安全控制。獨聯體控制於 2008 年首次開發,以協助組織確定其安全工作的優先次序。這 20 個控制目的在為安全投資提供起點,並已對映到本報告中討論的幾個 OT 和物聯網框架。 CIS 還開發了在 ICS 和物聯網環境中實施控制的配套指南。CIS 控制 ICS 伴侶指南於 2018 年釋出,CIS控制物聯體物聯網伴侶指南於 2019 年釋出。
OT 網路安全最佳實踐建議是什麼?
對 OT 網路安全從業人員來說,好訊息是,全球正在做出重大而持續的努力,以弄清楚如何更好地保護已佈署的 OT。這些努力是由公共和私人實體進行的,並根據對現實世界攻擊的成功防禦提供資訊。正在圍繞最佳實踐和關鍵控制形成共識,為 OT 網路安全團隊提供強化系統的堅實基礎。
在美國,85-90% 的聯邦指定關鍵基礎設施是私人擁有和營運的。這些私人行為者有來保持基礎設施的運作。正如我們所看到的,OT 網路安全是評估營運風險的重要考慮因素。從歷史上看,關鍵基礎設施提供商一直是實施整體風險管理框架(如 ISO 31000:2018)的主管者,OT 網路安全應該是所有 OT 風險計算的強制性組成部分。
圖10:網路安全 OT - 需要考慮的八個最佳實踐
1. 融入風險管理戰略需要 OT 網路安全中的明確指揮鏈
實施資金充足的 OT 安全策略,該策略與更廣泛的安全和可靠性工作合作,而不是與之相抵禦,需要一個具有明確權力和責任的明確指揮鏈。首席安全官(CSO)應負責 IT 安全和 OT 安全,並應直接向首席運營官(COO)報告;這將有助於保護安全預算和營運權威。目標是讓 OT 安全在每個組織的 C-suite 中勝任地代表,並認識到 OT 安全是一個越來越值得董事會討論的話題。
「70% 的 OT 組織報告說,他們打算在明年讓 CISO 負責 OT 網路安全 —— 目前只有 9%。」
總的來說,該行業似乎正在朝著這個方向發展。70% 的 OT 組織報告說,他們打算在明年讓 CISO 負責 OT 網路安全 —— 根據 SANS 2019 年 OT/ICS 網路安全狀況調查,目前只有 9%。
2. 跨職能團隊是關鍵
NIST 建議建立一個跨職能的 OT 網路安全團隊,該團隊至少由一名控制工程師、一名控制系統操作員、一名網路和系統安全專家、一名管理人員、一名物理安全部門成員以及一名來自該組織的 IT 人員組成。 瞭解 OT 網路安全相關活動對系統的潛在影響絕對非常重要,並將從運營人員的投入中受益。
3. CISA 推薦的做法
早些時候,我們介紹了 CISA 推薦的網路安全實踐和 CIS 關鍵安全控制。 對於尋求實現安全基線的組織來說,這兩者都是很好的起點。 CISA 推薦十個高階最佳實踐:
- 檢查、優先排序、測試和實施 ICS 安全補丁
- 備份系統資料和配置
- 識別、最小化並保護與 ICS 的所有網路連線
- 持續監控和評估 ICS、網路和互聯的安全性
- 禁用不必要的服務、埠和協議
- 啟用可用的安全功能並實施強大的配置管理實踐
- 利用應用程式白名單和防病毒軟體
- 為所有運營商和管理員提供 ICS 網路安全培訓
- 維護和測試事件響應計劃
- 實施基於風險的深度防禦方法來保護 ICS 主機和網路
4. NCSC 設計原則
對於正在採取基礎方法的組織,CISA 建議英國國家網路安全中心(NCSC)的設計原則和營運技術。 以下是 NCSC 設計原則的概述:
- 在設計系統之前建立上下文:換句話說,確定系統中的元素,以便防禦措施沒有盲點。
- 建構「攻擊樹」或網路殺戮鏈模式,說明系統需要如何受到攻擊
- 將系統分組到區域中,以更好地瞭解理論妥協的影響。 建議使用普渡大學模型。
- 繪製和理解區域邊界的漏洞
- 就網路設計和文件達成一致
- 讓妥協變得困難:攻擊者只能瞄準他們能夠觸及的裝置和系統。
- 來自較低信任區的任何資料都有潛在的危險
- 強制執行單向資料流
- 減少攻擊面
- 分階段實施關鍵的安全控制,以獲得信心。例如,最初僅在檢測模式下執行 IPS。
- 使中斷變得困難:設計一個能夠抵禦拒絕服務攻擊和使用激增的系統。
- 使洩露檢測更容易:設計系統,以便發現可疑活動
- 日誌收集
- 惡意軟體檢測
- 口罩檢測技術,以隱藏它們免受攻擊者
- 保持授權通訊簡單,使未經授權的通訊更容易檢測
- 瞭解門禁控制系統和減少攻擊面所需的所有用例
- 減少妥協的影響:使網路中的橫向移動儘可能困難。
- 從邊界系統中刪除不必要的功能
- 設計、架構和配置管理系統,如 Active Directory,以減少攻擊面
- 強制執行職責分工
- 將所有設計文件視為機密
- 平穩恢復的計劃
5. CIS 關鍵安全控制
通用的 CIS 20 控制為網路安全提供了良好的基線,可以根據 ICS 和物聯網環境進行定製。控制元件分為基本、基礎和組織類別,如下所示:
- CIS 控制#1:硬體資產的庫存和控制
- CIS 控制#2:軟體資產的庫存和控制
- CIS 控制#3:持續漏洞評估和補救
- 獨聯體控制#4:管理特權的受控使用
- CIS 控制#5:行動裝置、膝上型電腦、工作站和伺服器上的硬體和軟體的安全配置
- CIS 控制#6:審計日誌的維護、監控和分析
- CIS 控制#7:電子郵件和網路瀏覽器保護
- CIS 控制#8:惡意軟體防禦
- CIS 控制#9:網路埠、協議和服務的限制和控制
- CIS 控制#10:資料恢復能力
- CIS 控制#11:網路裝置的安全配置
- 獨聯體控制#12:邊界防禦
- CIS 控制#13:資料保護
- CIS 控制#14:受控訪問
- CIS 控制#15:無線訪問控制
- CIS 控制#16:帳戶監控和控制
- CIS 控制#17:安全技能評估和培訓
- CIS 控制#18:應用程式軟體安全
- CIS 控制#19:事件反應和管理
- CIS 控制#20:滲透測試和紅隊練習
讀者請參閱 ICS 或 IoT 的實施指南,以獲取有關將 CIS 建議應用於 ICS 或 IoT 環境的資訊。
6. 將 Gartner 的自適應安全模式應用於 OT 網路安全
人們常說,網路安全是一個過程。它還應該是連續和自適應的, Gartner 建立了一個擁抱這一想法的自適應安全架構(ASA)。雖然傳統的 IT 網路安全主要側重於威脅檢測和預防,但 ASA 模式增加了預測和反應,以創造一個連續的循環。 該模式的四個階段可以定義為:
預測 —— 評估風險和預測攻擊,實施基線安全衛生。
預防 —— 儘可能硬化和隔離系統。
回應 —— 調查事件,確定根本原因,補丁漏洞。
檢測 —— 確定風險的優先順序,檢測和遏制事件。
這種方法很有用,應該與攻擊生命週期的想法一起考慮,該想法早些時候引入,並在 MITRE(ATT&CK)和洛克希德·馬丁(網路殺戮鏈)的模式中推廣。透過更充分地瞭解早期的攻擊指標,預測變得更容易,這更好地為策略提供資訊,並減輕了週期中其他步驟的負擔。
7. OT 網路威脅意識
最後,早期辨識威脅的另一個重要最佳做法,是參與網路威脅意識計劃,如美國。國土安全部的 ICS-CERT 和工業控制系統資訊共享,和分析中心 ICS-ISAC。瞭解當前針對 ICS/OT 系統的威脅對確定工作的優先次序特別有幫助。
8. OT 網路安全和新冠肺炎
新冠肺炎疫情在人們的工作方式和地點造成了重大且可能持久的轉變。 在許多地方,在家工作政策已成為強制性,使用遠端訪問和數位通訊(Zoom 呼叫,有人嗎?)增加了。 當工人是必不可少的人員時,保持工人的健康尤為重要。CISA 釋出了一份指導檔案《CISA Insights: Risk Management for Novel Coronavirus (COVID-19)》,該檔案建議組織採取以下步驟:
- 確保 VPN 和其他遠端訪問系統完全修補
- 加強系統監控,以接收異常活動的早期檢測和警報
- 實現多因素身份驗證
- 確保所有機器都安裝了正確配置的防火牆以及防惡意軟體和入侵預防軟體。
- 測試遠端訪問解決方案容量或增加容量
- 確保營運計劃或業務連續性計劃的連續性是最新的
- 提高遠端工作員工對資訊科技支援機制的認識
- 更新事件響應計劃,以考慮分散式環境中的勞動力變化
值得關注的十大 OT 網路安全趨勢是什麼?
OT 和物聯網市場的最大趨勢是成長。這種成長是由新興和成熟的技術的匯合推動的,這些技術能夠更廣泛地採用可見性和控制系統。這種採用反過來又推動了 OT 和 IT 的加速整合,這提出了一系列網路安全問題,可能需要再過十年才能完全解決。
攻擊將繼續上升
「2020 年 IBM X-Force 威脅情報指數報告稱,2019 年對 OT 系統的攻擊同比成長了 2000%。 根據該報告,「威脅行為者繼續將目光轉向攻擊載體,包括物聯網、OT 和連線的工業和醫療系統。」
對 ICS、OT 和物聯網安全性最簡單的預測是,事情在改善之前肯定會變得更糟。2020 年 IBM X-Force 威脅情報指數報告稱,2019 年對 OT 系統的攻擊同比成長 2000%。根據該報告,「威脅行為者繼續將目光轉向攻擊載體,包括物聯網、OT 和連線的工業和醫療系統。」 根據 Ponemon Institute 在 2020 年進行的一項調查,IT 安全和 OT 安全工作之間缺乏一致性,目前阻礙了充分保護 OT 系統的能力。這項對 2000 多名網路安全從業人員的調查報告稱,「63% 的受訪者表示,OT 和 IT 安全風險管理工作沒有協調,因此很難在 OT 環境中實現強有力的安全態勢。」
圖11:網路安全 OT - 值得關注的十大趨勢
1. 物聯網市場成長、成長、成長
另一個簡單的預測是物聯網市場的持續成長。國際資料公司(IDC) 2019 年的預測估計,到 2025 年,將有 416 億台連線的物聯網裝置,產生 79.4 兆位元組(ZB)的資料。這種巨大的成長既是推動的,也是由物聯網堆疊各個層面的技術趨勢驅動的,其中包括裝置、連線、平台或雲,以及 app。 在更傳統的 OT 環境中,物聯網的進步推動變化的速度相當驚人。
圖12:企業互聯物聯網的成長
圖片來源
裝置市場的一個主要積極趨勢,是感測器技術在價格和效能上的持續改進。更廣泛地採用連線的感測器,將進一步推動感測器應用的發展。此外,隨著 5G 的採用,改進了行動連線,將啟用新的應用,包括擴增實境和虛擬實境。5G 來得很快,根據 2020 年 Business Insider 的調查,39% 的受訪者已經計劃在 2021 年之前支援 5G 作為其物聯網專案的一部分。(3S MARKET:至今 5G 尚未導入實際成熟應用?)
2. 雲的影響和採用
雲是另一項在物聯網環境中證明自己的技術,但將越來越多地被 OT 系統利用。例如,我們期望在效率提高、降低成本和提高可靠性的推動下,採用管理 SCADA 系統的高階應用程式。SCADA 作為一項服務,將定位為提供冗餘和改善正常執行時間。當然,展示安全性將是快速採用的關鍵。
3. OT 網路安全從人工智慧和大數據中獲益
應用程式將越來越多地利用歷史悠久的趨勢,如過去 15 年計算能力成長 100 倍,以及更新的趨勢,如大數據以及人工智慧(AI)和機器學習(ML)的進步。繼續採用連線裝置和整合感測器資料,將推動對人工智慧、ML、模擬和預測性維護的持續投資。
這些進步還有助於推進工業機器人和 3D 列印等領域的製造技術。說我們已經進入了第四次工業革命並不誇張,這使得物聯網安全支出迅速成長也就不足為奇了。Gartner 預計,2021 年全球物聯網安全支出將達到 31 億美元。
4. OT 網路安全和風險管理服務
OT 領域成長最快的細分市場之一,是風險管理服務。然而,根據 Bloor Research 的一份報告,2018 年,81% 的企業仍然沒有針對 OT 的安全事件響應計劃。許多組織將不得不依靠外部服務來加快這些努力。隨著統一事件響應的需求推動 IT 和 OT 安全團隊之間持續整合和交叉交流,到整合安全營運中心,這一點變得更加重要。
5. 網路安全團隊需要審查所有技術購買
新技術的引入,需要整個組織的完全可見性和早期支援。許多組織成立了架構審查委員會,以全面審查引入 OT 或 IT 環境的新技術或對現有技術的修改。風險管理實踐應包括一個資訊風險管理元件,該部分涉及策略、合規和報告。
6. 普渡模式將繼續發展
IT 和 OT 的持續融合,將引起更多關於普渡模式相關性的問題。今天沒有一種商業技術沒有在工業控制系統中使用。雖然這扼殺了傳統普渡大學架構的網路表示方面,但該模型仍然與 OT 元件應如何互操作,以建立所需的操作功能相關。理解互操作性的需要首先是模式層次結構開發的原因。因此,普渡大學模式將繼續在建築分類和系統元素之間的分類方面增加價值。
例如,透過對映操作功能關係,該模型可以識別潛在的攻擊目標和攻擊路徑。 展望未來,使用該模型來理解操作功能的相互關係,並圍繞這些關係建立安全性,而不是專注於傳統的普渡圖層,將更有用。 隨著IIoT裝置繼續進入OT系統,以及控制功能上下移到雲端,情況將尤其如此。
7. 零信任模式將越來越多地被接受在 OT 網路安全中
零信任架構的概念假設,即使是在網路內傳輸的資料也是可疑的。零信任意味著沒有通訊承擔信任。假設是,在事實證明不然之前,流量是可疑的。白名單和黑名單之間的區別,是如何減少信任的另一個很好的例子。前者練習阻止流量,除非它在批准的列表中;後者允許流量,除非它在塊列表中。在信任方面,這是一種完全不同的心態。事實上,白名單是另一個 OT 安全最佳實踐。
8. 紅色團隊佈署將增加
正如我們之前討論的,滲透測試和紅隊練習是 CIS Control 的最佳實踐。CIS 建議使用第三方專家,並建議組織「考慮在第三方的協助下,定期進行非侵入性安全評估,以辨識可用於破壞 ICS 系統安全性的更多漏洞和攻擊載體。」 鑑於擔心調查期間的營運中斷,使用第三方專家也是謹慎的。隨著組織成熟其 OT 網路安全策略,並發展成為更積極的防禦,滲透測試和紅隊演習將在確定安全態勢方面,發揮更突出的作用。
9. 網路保險
「一些營運商對網路攻擊造成的實體損害的潛在支付變得不滿,我們懷疑,隨著網路保護被視為獨特的產品並定價,以及排除被明確寫入有關網路損失的更傳統政策中,獨立政策將變得更加標準。」
使用保險單對沖網路風險的數量將增加。然而,隨著保險公司不再將網路保險與更傳統的保險(如財產和一般責任)捆綁在一起,市場將繼續發展。一些運營商對網路攻擊造成的實體損害的潛在支付變得不滿,我們懷疑,隨著網路保護被視為獨特的產品並訂價,以及排除條款被明確寫入有關網路損失的更傳統政策,獨立政策將變得更加標準。
10. 擴大物聯網安全法規
出現的一個重要趨勢是,政府試圖擺脫與物聯網有關的網路安全問題。當 SB-327 於 2020 年 1 月 1 日生效時,加州成為第一個制訂物聯網網路安全法的州。法律要求任何「直接或間接」連線到網際網路的裝置的製造商,為裝置開箱即用地配備「合理」的網路安全功能,以防止未經授權的訪問、修改或資訊披露。加州往往是隱私和安全法的領頭羊,我們希望其他州也會效仿。
NIST 還為物聯網裝置應內建哪些基線網路安全提供指導。2020 年 5 月,該機構釋出了物聯網裝置製造商的基礎網路安全活動,該報告描述了「製造商在物聯網裝置出售給客戶之前,應考慮執行的與網路安全相關的建議活動」。
2020 年美國參議院透過的與物聯網有關的聯邦立法可能會成為法律。《發展創新和發展物聯網法》或《數位法》主要目的在辨識和消除任何阻礙物聯網持續成長的聯邦因素,但它也解決了與該技術相關的潛在隱私、保全和安全問題。畢馬威最近的一份報告《物聯網法規降雨後》指出,除了美國外,中國、日本、澳大利亞、加拿大、巴西、英國和歐盟的物聯網安全監管工作。
OT 網路安全資源
需要幫助開始制訂網路安全行動計劃,還是只想瞭解更多關於 OT 網路安全的資訊? 以下是一些可以讓您走上正確軌道的資源:
- NIST物聯網(IoT)
- NIST工業控制系統(ICS)
- 美國 基礎網路安全資源
- 國際網路安全資源
- 澳大利亞政府關鍵基礎設施中心(CIC)
- 澳大利亞 CIC 合規策略
- 歐盟網路和資訊保全(NIS)指令
- 歐盟網路安全域性(ENISA)將 OES 安全要求對映到特定部門
- 德國平台工業 4.0
- 英國國家網路安全中心(NCSC)OT 安全設計原則
- 跨行業網路安全資源
- ANSI/ISA-95 企業控制系統整合
- 雲安全聯盟(CSA)物聯網安全控制框架
- ENISA 在智慧製造背景下的物聯網安全良好做法
- 工業網際網路聯盟 IIoT
- 國際自動化學會全球網路安全聯盟(ISAGCA)
- 物聯網安全基金會物聯網安全合規框架
- ISA/IEC 62443 工業自動化和控制系統安全
- ISO 31000:2018 風險管理
- 運營技術網路安全聯盟(OTCSA)
- SANS 研究所工業控制系統安全架構
- 特定行業的網路安全資源
- 最佳實踐安全控制
- 網路威脅意識
- 威脅框架
- 物聯網雲服務提供商
- 物聯網平台提供商
- 美國電話電報公司M2X
- 博世物聯網套件
- 思科動力學
- 德國電信物雲(CoT)
- 通用電氣數位 Predix
- 甲骨文物聯網雲
- PTC ThingWorx
- SAP 萊昂納多物聯網
- 施耐德電氣生態結構
- 西門子心靈球
- 軟體 AG Cumolocity
- Verizon ThingSpace
- 全球行動通訊協會系統(GSMA)
沒有留言:
張貼留言